发布日期：2007-01-25
更新日期：2007-02-13

受影响系统：

Microsoft Word 2000

描述：

---

BUGTRAQ  ID: 22225
CVE(CAN) ID: CVE-2007-0515

Microsoft Word是微软Office套件中的的文字处理软件。

如果用户受骗打开了恶意的.DOC文档的话，就可能导致Word 2000在用户系统上执行任意代码。

目前这个漏洞正在被名为Mdropper.W的木马积极的利用。在执行该木马时会执行以下操作：

1. 利用Microsoft Word中的漏洞
2. 创建以下文件：

          * %Temp%\ahah.exe
          * %Temp%\sav.exe
          * %Windir%\dominoo.exe
          * %Windir%\inetsyschk.dll

3. 创建以下文件：

      %Temp%\Summary on China's 2006 Defense White paper.doc

4. 通过访问各种站点检查Internet连接，如果Microsoft、Google、Yahoo
5. 在入侵的机器上打开后门并在TCP 80端口上连接到pop.newyorkerworld.com域
6. 在命令提示符中使用指定的命令执行基本操作
7. 删除以下文件：

          * %Windir%\dominoo.exe
          * %Windir%\inetsyschk.dll

<*来源：Symantec
  
  链接：http://secunia.com/advisories/23950/
        http://www.symantec.com/security_response/writeup.jsp?docid=2007-011813-0435-99&tabid=1
        http://www.microsoft.com/technet/security/advisory/932114.mspx?pf=true
        http://blogs.technet.com/msrc/archive/2007/01/26/microsoft-security-advisory-932114-posted.aspx
        http://www.uscert.gov/current/current_activity.html#mswddrpr0d
        http://www.microsoft.com/technet/security/Bulletin/ms07-014.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA07-044A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.milw0rm.com/sploits/02032007-word2000exp.doc

建议：

---

临时解决方法：

* 不要打开不可信任的WORD文档。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-014）以及相应补丁:
MS07-014：Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (929434)
链接：http://www.microsoft.com/technet/security/Bulletin/ms07-014.mspx?pf=true

浏览次数：3179
严重程度：0（网友投票）